Ezio se propaga por correo y P2P Es un gusano que se propaga tanto a través de correo como de programas P2P. El asunto y contenido del mensaje de correo con el que se puede propagar es aleatorio, y el remitente está falsificado.
Borra claves del registro y modifica el archivo HOSTS para impedir el acceso a sitios web relacionados con software de seguridad.
Cuando se ejecuta, muestra un falso mensaje de error: "Can´t open MFC87Eng.dll".
Nombre completo: Worm.W32/Ezio@P2P+MM
Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Windows 95/98/NT/Me/2000/XP,Server 2003
Mecanismo principal de difusión: [P2P+MM] - Se propaga por redes P2P y correo electrónico.
Tamaño comprimido (bytes): 136000
Alias:W32/Ezio@mm (PerAntivirus), WORM_EZIO.A (Trend Micro)
El gusano se envía a todas las direcciones que encuentra en los archivos del ordenador infectado con extensión .txt y .html.
Remitente: Mail System}
Asunto: Mail Error
Contenido: Please see the attached document for details.
Anexo: document.zip
Propagación por redes P2P
El gusano se copia a las carpetas de descarga de las siguientes redes:
BearShare
direct connect
eDonkey2000
eMule
gnucleus
grokster
icq
KaZaa
KaZaa Lite
KMD
limeWire
Morpheus
StreamCast
Payloads
Instalación
Una vez ejecutado el gusano, se copiará al directorio %Windir% (C:/Windows o C:/Winnt) como SVCHOST.EXE.
Además, para activarse la próxima vez que se reinicie el sistema crea la siguiente clave de registro:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows Service Host Process" = "%Windows%\svchost.exe"
El gusano borra las siguientes claves:
32-bit Thunking service
9xHtProtect
ICQ Net
JavaVM
lsass
Norton Antivirus AV
RPCserv32
service
Services
Special Firewall Service
SysMonX
SysMonXP
Tiny AV
de la clave del registro:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
Modificación del archivo HOSTS
El gusano manipula este archivo (localizado en %System%\drivers\etc\hosts), para impedir el acceso a a los siguientes portales:
127.0.0.1 dispatch.mcafee.com
127.0.0.1 download.mcafee.com
127.0.0.1 f-secure.com
127.0.0.1 ftp.f-secure.com
127.0.0.1 ftp.sophos.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky.ru
127.0.0.1 liveupdate.symantec.com
127.0.0.1 mast.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 rads.mcafee.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 service1.symantec.com
127.0.0.1 sophos.ch
127.0.0.1 sophos.com
127.0.0.1 symantec.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 viruslist.ru
127.0.0.1
www.avp.ch 127.0.0.1
www.avp.com 127.0.0.1
www.avp.ru 127.0.0.1
www.f-secure.com 127.0.0.1
www.kaspersky.com 127.0.0.1
www.kaspersky.ru 127.0.0.1
www.mcafee.com 127.0.0.1
www.mcafeehelp.com 127.0.0.1
www.sophos.ch 127.0.0.1
www.sophos.com 127.0.0.1
www.symantec.com 127.0.0.1
www.trendmicro.com 127.0.0.1
www.viruslist.ru Nombres de Ficheros Adjuntos (virus que llegan por correo)
document.zip
Asunto del mensaje (virus que llegan por correo)
Mail Error
Limpieza:Desactive restaurar sistema
Actualice su antivirus y páselo en modo a prueba de fallos
Borre los ficheros infectados
Edite el registro:Sea extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable
Elimine el valor
"Windows Service Host Process" = "%Windows%\svchost.exe"
de la clave del registro:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows Service Host Process" = "%Windows%\svchost.exe"
Acceda al fichero HOSTS, (localizado en %System%\drivers\etc\hosts, donde %System% vale, por defecto C:\Windows\System, C:\WINNT\System32 ó C:\Windows\System32) y borre en él las siguientes líneas:
127.0.0.1 dispatch.mcafee.com
127.0.0.1 download.mcafee.com
127.0.0.1 f-secure.com
127.0.0.1 ftp.f-secure.com
127.0.0.1 ftp.sophos.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky.ru
127.0.0.1 liveupdate.symantec.com
127.0.0.1 mast.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 rads.mcafee.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 service1.symantec.com
127.0.0.1 sophos.ch
127.0.0.1 sophos.com
127.0.0.1 symantec.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 viruslist.ru
127.0.0.1
www.avp.ch 127.0.0.1
www.avp.com 127.0.0.1
www.avp.ru 127.0.0.1
www.f-secure.com 127.0.0.1
www.kaspersky.com 127.0.0.1
www.kaspersky.ru 127.0.0.1
www.mcafee.com 127.0.0.1
www.mcafeehelp.com 127.0.0.1
www.sophos.ch 127.0.0.1
www.sophos.com 127.0.0.1
www.symantec.com 127.0.0.1
www.trendmicro.com 127.0.0.1
www.viruslist.ru Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla.
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4973
